🔐

Documento de Seguridad y Privacidad de Datos

Versión 3.0Abril 2026 | ClickPyme SAS | clickpyme.app

Audiencia: Socios, inversionistas, clientes empresariales, alianzas estratégicas (COPARMEX, cámaras de comercio), y cualquier parte que evalúe la postura de seguridad de ClickPyme.

💡 En palabras simples: Este documento explica cómo protegemos los datos de tu negocio. Si eres socio, inversionista o cliente empresarial, aquí encuentras las respuestas técnicas.

1. Resumen Ejecutivo

ClickPyme es una plataforma SaaS multi-tenant que procesa datos operativos, financieros, fiscales y de nómina de micro y pequeños negocios en México. Implementamos medidas técnicas, organizacionales y legales para proteger la información conforme a la LFPDPPP vigente (21 de marzo de 2025).

Ecosistema protegido: 20 módulos incluyendo POS, inventario, finanzas, nómina, CFDI, impuestos (ClickImpuestos), marketplace (ClickMerca), entregas (ClickEnvíos), WhatsApp, CRM, cotizaciones, marketing, formalización legal, y 11 agentes de inteligencia artificial.

2. Infraestructura y Certificaciones

ComponenteCertificacionesRegión
Hosting y CDNSOC 2 Type II, ISO 27001Global (edge)
Base de datosSOC 2 Type II, ISO 27001Norteamérica
Motor de IASOC 2 Type IIEstados Unidos
Procesamiento de pagosPCI DSS Level 1, CNBVMéxico
Mensajería y WhatsAppISO 27001, SOC 2Global
Facturación CFDI (PAC)Autorizado por SATMéxico
DNS y red de entregaSOC 2 Type II, ISO 27001Global
Correo electrónicoProtocolos estándar de cifradoGlobal

3. Cifrado de Datos

CapaTecnologíaDetalle
Datos en tránsitoHTTPS / TLS 1.3Todo tráfico cifrado. HTTP rechazado. Aplica a API, webhooks e IA
Datos en reposoAES-256Cifrado AES-256 aplicado a toda la base de datos
Certificados CSDAES-256 + NOM-151Doble cifrado antes de almacenar. Referencia NOM-151-SCFI-2016
Contraseñas de usuariosbcrypt (factor 12)Nunca texto plano. Hash irreversible
Tokens de sesiónJWT firmadosExpiración configurable. Revocación inmediata en logout
BackupsAES-256Cifrado antes de almacenar. Retención 30 días en producción

4. Control de Acceso Multi-Tenant

La arquitectura multi-tenant de ClickPyme garantiza que cada negocio solo pueda ver y modificar sus propios datos:

  • Row Level Security (RLS): Todas las tablas tienen políticas RLS que filtran por tenant_id — cada negocio solo accede a sus propios datos
  • Autenticación: JWT con expiración automática. Sesiones revocadas al cerrar sesión
  • Roles diferenciados: Dueño (acceso total), Administrador, Cajero (solo POS), con permisos granulares
  • PIN de cajero: Para operaciones sensibles en POS. Almacenado con hash seguro
  • Multi-sucursal: Acceso restringido por sucursal según configuración del dueño

5. Datos Sensibles

DatoProtección aplicada
CSD (.cer/.key)AES-256 adicional + NOM-151-SCFI-2016. Solo accesible vía API de timbrado
Datos fiscales ClickImpuestosRFC, ISR/IVA estimados: acceso solo al dueño del tenant
Nómina y sueldosAcceso solo con rol dueño o administrador autorizado
Fotos de asistencia (empleados)Almacenadas en almacenamiento privado. No accesibles públicamente
Ubicación GPS mensajerosSolo durante entregas activas. No se almacena historial GPS
Contraseñasbcrypt irreversible. Nunca se muestran ni transmiten en texto plano

6. Disponibilidad y Continuidad

  • Uptime objetivo: 99.9% mensual (ver SLA completo en clickpyme.app/sla)
  • Backups automáticos cada 24 horas, retención de 30 días
  • Modo offline en ClickFlux (POS): funciona sin internet, sincroniza al reconectarse
  • Red de distribución global para baja latencia en México y Latinoamérica
  • Mantenimiento programado: preferentemente domingos 22:00-06:00 CDMX con aviso 24h

7. Respuesta a Incidentes

En caso de brecha de seguridad que afecte datos personales:

  • Notificación a usuarios afectados dentro de las 72 horas de detección
  • Notificación a la Secretaría de Anticorrupción y Buen Gobierno si corresponde
  • Reporte de incidente con descripción, datos afectados y medidas correctivas

Para reportar vulnerabilidades: hola@clickpyme.com con asunto "SEGURIDAD — VULNERABILIDAD"

8. Cumplimiento Legal

  • LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares)
  • NOM-151-SCFI-2016 (para CSD y firma electrónica)
  • Reglamento de la LFPDPPP
  • Lineamientos del SAT para PAC autorizado (Finkok)
  • Estándares PCI DSS a través de MercadoPago para procesamiento de tarjetas

Versión: 3.0 — Abril 2026

Seguridad: hola@clickpyme.com (asunto: SEGURIDAD)

Privacidad: privacidad@clickpyme.com